Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 25 Tests des plans de continuité des activités de TIC

Summary What does Article 25 of the RTS on ICT risk management framework say?

This article builds directly on Article 24, which establishes the ICT business continuity policy, by setting out the detailed requirements for how financial entities must actually test those plans.

The core purpose is to ensure that testing is rigorous and meaningful — grounded in the entity's business impact analysis and ICT risk assessment — and that it genuinely verifies whether critical or important functions can be kept running through disruptions.

The article also extends specific obligations to central counterparties and central securities depositories, requiring them to involve relevant external parties, such as clearing members and other market infrastructures, in their testing exercises.

Important points:

  • Test ICT business continuity plans using realistic, severe but plausible disruption scenarios, including switchover to backup infrastructure (for all entities except microenterprises), and scenarios covering potential failures of ICT third-party service providers.
  • Central counterparties and central securities depositories must involve relevant external stakeholders — such as clearing members, external providers, and other market infrastructures — in their business continuity testing.
  • Document all testing results and ensure that any deficiencies identified are analysed, addressed, and reported to the management body.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Lorsqu’elles testent les plans de continuité des activités de TIC conformément à l’article 11, paragraphe 6, du règlement (UE) 2022/2554, les entités financières tiennent compte de l’analyse des incidences sur les activités de l’entité financière et de l’évaluation du risque lié aux TIC visée à l’article 3, premier alinéa, point b), du présent règlement.

    1. Les entités financières évaluent, au moyen des tests de leurs plans de continuité des activités de TIC visés au paragraphe 1, si elles sont en mesure d’assurer la continuité de leurs fonctions critiques ou importantes. Ces tests:

      1. sont réalisés sur la base de scénarios de test simulant des perturbations potentielles, y compris un ensemble adéquat de scénarios graves mais plausibles;

      2. comprennent, le cas échéant, des tests des services TIC fournis par des prestataires tiers de services TIC;

      3. pour les entités financières, autres que les microentreprises, visées à l’article 11, paragraphe 6, deuxième alinéa, du règlement (UE) 2022/2554, comprennent des scénarios de basculement entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes;

      4. sont conçus pour éprouver les hypothèses sur lesquelles se fondent les plans de continuité des activités, y compris les dispositifs de gouvernance et les plans de communication en situation de crise;

      5. comportent des procédures visant à vérifier la capacité du personnel des entités financières, des prestataires tiers de services TIC, des systèmes de TIC et des services TIC à répondre de manière adéquate aux scénarios dûment pris en considération conformément à l’article 26, paragraphe 2.

    2. Aux fins du point a), les entités financières incluent toujours dans les tests les scénarios envisagés pour l’élaboration des plans de continuité des activités.

    3. Aux fins du point b), les entités financières tiennent dûment compte des scénarios liés à l’insolvabilité ou aux défaillances des prestataires tiers de services TIC ou aux risques politiques dans les juridictions des prestataires tiers de services TIC, le cas échéant.

    4. Aux fins du point c), les tests permettent de vérifier si au moins les fonctions critiques ou importantes peuvent être exercées de manière appropriée pendant une durée suffisante et si le fonctionnement normal peut être rétabli.

    1. En plus de respecter les exigences prévues au paragraphe 2, les contreparties centrales associent aux tests de leurs plans de continuité des activités de TIC visés au paragraphe 1:

      1. les membres compensateurs;

      2. les prestataires externes;

      3. les établissements de l’infrastructure financière avec lesquels les contreparties centrales ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.

    1. En plus de respecter les exigences prévues au paragraphe 2, les dépositaires centraux de titres associent, le cas échéant, aux tests de leurs plans de continuité des activités de TIC visés au paragraphe 1:

      1. les utilisateurs des dépositaires centraux de titres;

      2. les prestataires de services et fournisseurs de services de réseau essentiels;

      3. d’autres dépositaires centraux de titres;

      4. d’autres infrastructures de marché;

      5. d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.

    1. Les entités financières documentent les résultats des tests visés au paragraphe 1. Toute défaillance constatée à la suite de ces tests est analysée, traitée et notifiée à l’organe de direction.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod